[CISO에게 '보안'을 묻다]이병강 기업은행 CISO

“기업에서 발생하는 보안사고 대부분 이미 발생했던 유형이나 이미 알려진 방식입니다. 과거 사고를 바탕으로 정기 훈련을 통해 피해를 최소화합니다.”

이병강 기업은행 정보보호최고책임자(CISO·본부장)은 빠르게 변화하는 사이버 보안 위협에 '준비, 반복 훈련' 등 지속 위협에 대한 철저한 기본을 강조했다.

이 본부장은 “실제상황 발생 시 피해를 최소화하는 것과 조직 내 보안문화를 형성해 현장에서 자연스럽게 내부통제 프로세스가 작동하는 게 중요하다”면서 “대규모 디도스 공격·전산망 장애, 협력업체 개인정보 유출, 랜섬웨어·악성코드 감염 등 실제 상황을 가정한 훈련을 진행하고 있으며 내년 정례화 훈련을 확대할 계획”이라고 말했다.

단순히 공격을 막는 데 치중하지 않는다. 보안 특성상 방어에 많은 신경을 쓰더라도 알수 없는 공격에 대비해야하기 때문에 틈이 발생한다. 수동 방어는 한계가 따른다.

기업은행은 기본 보안에 충실하고 '능동방어' 개념을 더했다. 보안 담당자가 기술에만 치중된 것이 아니라 비즈니스를 이해하고 공격자를 예측하는 '창의력'을 키운다. 보안과 비즈니스 조화다.

이 본부장은 “금융기관은 인터넷관리, 비대면 거래 등 핀테크 혁신으로 비즈니스 복잡성도 증가했다”면서 “능동적인 방어는 비즈니스 생태계를 이해해 어떤 분야에 공격이 들어올지 예측하고 예방한다”고 설명했다. 이어 “보안은 모든 것을 통제하는 것이 아니라 업무 효율성을 바탕에 두고 이들 간 조화를 추구해야 한다”고 덧붙였다.

이를 위해 보안팀 직원의 실전해킹대회 참가, 교육 등을 적극 장려한다. 단순히 기술습득이 아닌 IT트렌드와 비즈니스를 병행 학습하도록 해 보안과 실제 업무 간 괴리를 줄인다.

기업은행은 최근 지능형 통합보안 관제시스템 도입 계획을 밝혔다. 방화벽, 침입탐지, PC백신 등 이기종 다양한 로그를 실시간 수집, 연계 분석해 해킹시도를 찾아낸다. 기존 시스템은 사이버공격에 대한 침해분석 상당 부분을 인력에 의존해 신속한 대응이 어렵다. 지능형 통합보안 관제시스템은 네트워크, 서버, PC 등 모든 보안로그에 대한 관리를 통합하고 자동화한다. 실시간 대응과 사후 사고조사에도 유용할 것으로 기대한다.

이 본부장은 “인공지능 분석 기법을 도입해 대용량 침해위협 로그를 자동으로 분석, 탐지해 최근 증가하는 지능형지속위협(APT) 등에 대비할 수 있을 것으로 기대한다”면서 “내년 중순 구체적 결과물을 볼 수 있을 것”이라고 말했다.

정영일기자 jung01@etnews.com